允许在推行网络策略过程中使用域名的方法和系统技术方案

公开了一种通过使用基于域名的网络策略来创建基于互联网协议地址的网络策略的方法和系统。存储了基于域名的网络策略。当网络装置接收到地址记录域名系统查找回复时，网络装置识别该地址记录域名系统查找回复中所指定的一个或多个主机名的一个或多个互联网协议地址，随后确定该一个或多个主机名是否包含了在一个或多个基于域名的网络策略中使用的域名，并且创建一个或多个基于互联网协议地址的网络策略。

【技术实现步骤摘要】
允许在推行网络策略过程中使用域名的方法和系统本申请是基于2011年11月11日提交的、申请号为201180069338.7、专利技术创造名称为“允许在推行网络策略过程中使用域名的方法和系统”的中国专利申请的分案申请。
本专利技术涉及与互联网协议(IP)网络互通的局域网，更具体地涉及允许在推行网络策略过程中使用域名的方法和系统。
技术介绍
为了保护网络和管制网络信息流(networktraffic)，现有技术的网络装置推行了关于网络信息流的网络策略。网络策略描述了网络装置应当如何操作，并且对不同类型的网络信息流、信息源、信息目的地和信息流内容施加限制。可以通过使用互联网协议地址和/或域名来创建网络策略。用以推行网络策略的两个通信方法是对路由器中使用的路由表进行覆盖和由代理服务器进行内容审查。路由器使用路由表来确定如何转发网络信息流。路由器实现超控路由表来对路由表中已建立或记录的路由进行覆盖，以便执行网络策略。在路由器处，网络策略基于互联网协议(IP)地址而不是域名。路由器审查数据包的IP地址，由此来检查在覆盖路由表中是否已经指定了该IP地址。如果是，则根据覆盖路由表中描述的网络策略来对本文档来自技高网...

【技术保护点】
一种用于在网络设备创建基于互联网协议地址的网络策略IPP的方法，其包括步骤：a.取得存储在服务器的一个或多个基于域名的网络策略DNNTP；b.监控地址记录域名系统DNS查找回复的网络信息流；c.在所述地址记录DNS查找回复中识别一个或多个主机名和对应的一个或多个IP地址；d.如果所述一个或多个主机名中的任一主机名包含在所述一个或多个DNNTP中使用的域名之一，则创建一个或多个对应于所述DNNTP的IPP；其中，所述DNNTP含有选自源信息流的地址、信息流目的地的一个或多个域名、协议和算法的一组中选择的参数；e.存储所述一个或多个IPP；其中，所述IPP含有选自源信息流的地址、信息流目的地的一个...

【技术特征摘要】
1.一种用于在网络设备创建基于互联网协议地址的网络策略IPP的方法，其包括步骤：a.取得存储在服务器的一个或多个基于域名的网络策略DNNTP；b.监控地址记录域名系统DNS查找回复的网络信息流；c.在所述地址记录DNS查找回复中识别一个或多个主机名和对应的一个或多个IP地址；d.如果所述一个或多个主机名中的任一主机名包含在所述一个或多个DNNTP中使用的域名之一，则创建一个或多个对应于所述DNNTP的IPP；其中，所述DNNTP含有选自源信息流的地址、信息流目的地的一个或多个域名、协议和算法的一组中选择的参数；e.存储所述一个或多个IPP；其中，所述IPP含有选自源信息流的地址、信息流目的地的一个或多个IP地址、协议和算法的一组中选择的参数；f.基于网络信息流的IP地址在所述网络信息流上推行所述一个或多个IPP；g.当为第一IP地址创建了多个IPP时，在具有所述第一IP地址的网络信息流上以较高优先权推行IPP；以及h.在预定时间段之后从存储器移除所述一个或多个IPP；其中，所述预定时间段是基于生存时间TTL，所述生存时间TTL与所述地址记录DNS查找回复相关联；其中，IP地址、IP地址范围、或以太网地址是源信息流的地址；其中，传输控制协议或用户数据报协议和端口号用作协议；其中，权值平衡、最少使用、最低等待时间或优先权的类别构成所述算法；以及其中，当DNNTP的域名变化时，所述一个或多个基于IP地址的网络策略分别变化。2.如权利要求1所述的方法，还包括：i.当所述一个或多个IPP的TTL将要期满时，移除所述一个或多个IPP；以及其中，所述TTL是基于所述地址记录DNS查找回复。3.如权利要求2所述的方法，还包括：j.根据基于网络的策略来更新用于移除所述IP地址的TTL；以及k.如果确定与IPP相同的所述一个或多个IPP已经存在于所述存储器中，则不存储所述一个或多个IPP。4.如权利要求1所述的方法，还包括：l.在所述地址记录DNS查找回复中识别一个或多个主机名和对应的一个或多个IP地址；以及m.验证所述一个或多个主机名中的任一主机名是否包含在一个或多个DNNTP中使用的域名之一。5.如权利要求1所述的方法，其中，在DNNTP中使用的域名不包含通配符、或者包含一个或多个通配符；其中，所述地址记录DNS查找回复包含主机名；其中，当不包含通配符时，所述主机名必须与在创建一个或多个对应的IPP之前所指定的域名相同；以及其中，当包含一个或多个通配符时，所述主机名满足在创建一个或多个对应的IPP之前的通配符标准。6.如权利要求1所述的方法，还包括步骤：n.转发接收到的地址记录DNS查找请求；以及o.转发接收到的所述地址记录DNS查找回复。7.如权利要求6所述的方法，还包括步骤：p.转发接收到的非地址记录DNS查找请求；以及q.转发接收到的非地址记录DNS查找回复。8.如权利要求7所述的方法，还包括步骤：r.确定所述非地址记录是否包括在一个或多个DNNTP中使用的域名；以及其中，所述非地址记录是规范名记录、邮件交换记录、名称服务器记录、服务定位器或文本记录。9.如权利要求8所述的方法，还包括步骤：s.当基于网络策略创建一个或多个IP地址时确定在一个或多个DNNTP中使用的域名是否包含一个或多个主机名。10.如权利要求1所述的方法，其中，所述一个或多个IPP存储在第一服务器。11.一种在网络设备创建基于互联网协议地址的网络策略IPP的系统，其包括：一个或多个网络接口；一个或多个存储单元，其用于存储程序指令和一个或多个基于域名的网络策略DNNTP；一个或多个处理单元，其用于执行存储在所述一个或...

【专利技术属性】
技术研发人员：陈浩明，叶志斌，陈思瀚，陈永康，周杰怀，
申请(专利权)人：柏思科技有限公司，
类型：发明
国别省市：中国香港,81